Art. 1 Informations que doit fournir un prestataire tiers de services TIC dans la demande de désignation volontaire en tant que prestataire critique | RTS on harmonisation for oversight conduct | DORA

This article establishes the information requirements for an ICT third-party service provider that voluntarily applies to be designated as critical under DORA (Regulation (EU) 2022/2554).

It is a detailed, prescriptive article that directly supports the voluntary designation mechanism provided in Article 31(11) of DORA, setting out exactly what must be included in the reasoned application.

The required information covers the applicant's identity and corporate structure, its market presence in the Union financial sector, the nature of the ICT services it provides, the financial entities it serves, and notably a self-assessment of how substitutable its services are.

Where the provider belongs to a group, the information must reflect the group's ICT services as a whole.

Important points:

ICT third-party service providers voluntarily seeking critical designation must submit a comprehensive application covering identity, corporate structure, services, client base, market share, and a self-assessment of substitutability.
Include a self-assessment of how easily your ICT services could be replaced, covering market share, known competitors, and any proprietary or unique characteristics of your services.
Where the applicant is part of a group, all required information must be provided at group level, not just for the individual legal entity.

1. Le prestataire tiers de services de technologies de l’information et de la communication (TIC) soumet les informations suivantes dans sa demande motivée de désignation volontaire en tant que prestataire critique, en vertu de l’article 31, paragraphe 11, du règlement (UE) 2022/2554, conformément à l’article 31, paragraphe 1, point a), du règlement (UE) 2022/2554:
  1. nom de la personne morale;
  2. code d’identification de l’entité juridique;
  3. nom de la personne de contact et coordonnées du prestataire tiers critique de services TIC;
  4. pays dans lequel l’entité juridique a son siège statutaire;
  5. description de la structure d’entreprise comprenant au moins des informations sur sa société mère et sur les autres entreprises liées fournissant des services TIC à des entités financières de l’Union. Ces informations comprennent, le cas échéant:
    le nom de la personne morale;
    le code d’identification de l’entité juridique;
    le pays dans lequel l’entité juridique a son siège statutaire;
  6. une estimation de la part de marché du prestataire tiers de services TIC dans le secteur financier de l’Union et une estimation de la part de marché par type d’entité financière visée à l’article 2, paragraphe 1, du règlement (UE) 2022/2554 à compter de l’année de présentation de la demande de désignation volontaire en tant que prestataire critique et de l’année précédant cette demande;
  7. une description de chaque service TIC fourni à des entités financières de l’Union, y compris:
    une description de la nature des activités et du type de services TIC fournis aux entités financières;
    une liste des fonctions des entités financières soutenues par les services TIC fournis, le cas échéant;
    des informations indiquant si les services TIC fournis aux entités financières soutiennent des fonctions critiques ou importantes, le cas échéant;
  8. une liste des entités financières qui utilisent les services TIC fournis par le prestataire tiers de services TIC, y compris les informations suivantes pour chacune des entités financières desservies, le cas échéant:
    nom de la personne morale;
    code d’identification de l’entité juridique, lorsqu’il est connu du prestataire tiers de services TIC;
    type d’entité financière au sens de l’article 2, paragraphe 1, du règlement (UE) 2022/2554;
    localisation géographique à partir de laquelle les services TIC sont fournis à cette entité juridique spécifique;
  9. une liste des prestataires tiers critiques de services TIC figurant dans la dernière liste disponible de ces fournisseurs publiée par les AES conformément à l’article 31, paragraphe 9, du règlement (UE) 2022/2554, qui s’appuient sur les services fournis par le demandeur, le cas échéant;
  10. une autoévaluation en ce qui concerne:
    le degré de substituabilité pour chaque service TIC fourni par le demandeur, compte tenu des éléments suivants:
    la part de marché du prestataire tiers de services TIC dans le secteur financier de l’Union,
    le nombre de concurrents pertinents connus par type de services TIC ou groupe de services TIC,
    une description des spécificités relatives aux services TIC proposés, y compris en ce qui concerne toute technologie propriétaire, ou des caractéristiques spécifiques de l’organisation ou de l’activité du prestataire tiers de services TIC;
    une connaissance de la disponibilité d’autres prestataires tiers de services TIC à fournir les mêmes services TIC que le prestataire tiers de services TIC soumettant la demande;
  11. des informations sur une stratégie commerciale future en ce qui concerne la fourniture de services et d’infrastructures TIC aux entités financières dans l’Union, y compris toute modification prévue du groupe ou de la structure de gestion, l’entrée sur de nouveaux marchés ou l’exercice de nouvelles activités;
  12. l’identification des sous-traitants du prestataire tiers de services TIC qui ont été désignés comme prestataires tiers critiques de services TIC;
  13. tout autre motif pertinent pour la demande de désignation comme prestataire tiers critique de services TIC.
1. Lorsque le prestataire tiers de services TIC appartient à un groupe, les informations visées au paragraphe 1 sont considérées par rapport aux services TIC fournis par l’ensemble du groupe.